Google hacking: perché "numrange" è così pericoloso?

19

Sto leggendo Google Hacking for Penetration Tester e nel libro si dice che diverse volte l'operatore "numrange" è particolarmente potente e pericoloso. Tuttavia, non forniscono esempi di utilizzo di questo operatore. Ho trovato rivendicazioni simili sulla rete, tuttavia, ancora una volta, senza alcun esempio di come si possa usarlo.

Sono un po 'al buio qui - So che questo operatore è un'arma pericolosa nelle mani di un ingegnere sociale malizioso, ma non so come si possa usare quest'arma e come montare l'autodifesa.

So che questo operatore è utilizzato per cercare una serie di numeri sul web. Immagino che potresti usarlo per rintracciare i numeri sociali (comunque, non sono sicuro di come si possa definire una persona usando l'intervallo intorno al numero sociale e non + "inserire il numero sociale"), i telefoni (diciamo che conosco la gamma di numeri telefonici che vengono utilizzati dall'organizzazione mirata) e alla ricerca di un indirizzo (per ottenere informazioni sui vicini). Tuttavia, non vedo perché questo sia un operatore "malvagio" ...

Quindi, cosa c'è di così speciale nell'operatore di numrange e in che modo può essere utilizzato nei test delle penne? Come puoi difenderti contro numrange (non contro google hacking nel suo complesso)?

    
posta StupidOne 21.08.2011 - 21:15
fonte

3 risposte

12

Ho scavato un po 'di più da solo e stavo giocando con Google per un paio d'ore ...

L'operatore numrange era molto più problematico quando è stato introdotto da Google di quanto non sia ora. Un paio di anni fa potresti raccogliere CC # s, ma Google ha limitato l'intervallo di numeri in una query a 5 cifre. Se utilizzi 6 cifre in una query, ottieni questo:

Tuttavia,èancorapossibileraccogliereSSN.Iltruccoèrompereunnumero(SSN)inpezzipiùpiccoli.NegliStatiUniti,leprimetrecifrediunSSNrappresentanolostato.Ilsecondogruppodinumeri(2)rappresentailnumerodelgruppoel'ultimogruppodicifre(4)indicailnumerodiserie.

Laquerypotrebbeesseresimilea:

  • +ssn"486..500-01..99-0001..9999"

Ciò restituirebbe tutti i SSN dal Missouri.

L'operatore Numrange ha usi legittimi (non correlati al social engineering) come la ricerca di indirizzi, fasce di prezzo, numeri di pagina, anni (ad esempio Aston Martin 1950..1960) e così via.

    
risposta data 22.08.2011 - 17:46
fonte
10

Numrange è stato criticato per il potenziale aiuto ai mietitori - robot che raccolgono un gran numero di CC # s, SSN, e-mail, ecc. Qualcuno che vuole raccogliere CC # s può solo scrivere un crawler per i risultati di ricerca di Google invece di strisciare un grosso pezzo del web loro stessi. Ovviamente, a meno che Google non intraprenda contromisure, la scansione di un sito Web (o l'utilizzo di API) è più semplice della scansione dell'intero Web, pertanto la barra per i raccoglitori viene ridotta.

Poiché la minaccia sta raccogliendo, potresti voler assicurarti che CC # s e SSN non compaiano sul tuo sito. Fare la propria ricerca numrange attraverso database, registri, ecc. Può avvisare l'utente delle minacce. Ad esempio, se fornisci un sito Web che conserva archivi di conversazioni di supporto utente selezionate per aiutare le persone a diagnosticare i propri problemi, potrebbe essere una buona idea scrivere la tua mietitrice numrange in modo da essere avvisati per prima cosa se le informazioni personali dei tuoi utenti finiscono negli archivi.

    
risposta data 22.08.2011 - 03:43
fonte
6

Mentre Google ha introdotto un numero massimo di cifre in una query , funziona ancora:

link

A quanto pare Google farà i calcoli per te e non è filtrato. Funziona con 9 cifre, quindi passa a -2 -1 di x cifre. Non direi che è un operatore "malvagio", ma deve essere usato in modo responsabile. Non so per quanto tempo quello che ho fatto rimarrà in giro ora che l'ho postato, anche se ...

link

    
risposta data 29.10.2012 - 07:31
fonte

Leggi altre domande sui tag